Sites web, cookies et autres traceurs
En octobre 2020, la CNIL a publié ses lignes directrices ainsi que ses recommandations sur l’usage des cookies at autres traceurs sur les sites web.
L’objectif de ces recommandations est d’apporter des clarifications sur l’obligation de recueillir le consentement des internautes avant toute opération de lecture, écriture de cookies ou autres traceurs (article 82 de la loi Informatique et Libertés. Cette loi transpose en droit français l’article 5.3 de la directive 2002/58/CE « vie privée et communications électroniques » ou « ePrivacy »).
Savez-vous ce qu’est un cookie ou traceur ?
Il s’agit d’une petite quantité de données, envoyées par un serveur web et stockées dans votre navigateur. Les cookies conservent des informations sur vos interactions avec les différentes pages du site : gérer l’authentification au site, conserver les achats dans le panier de commande etc…
En associant un identifiant unique à un cookie, il est possible de recenser toutes les pages web consultées par un même internaute, de lui affecter un profil et de lui afficher par exemple des publicités ciblées.
Savez-vous ce que vous devez prévoir en tant que concepteur de site web ?
- Informer les internautes de l’utilisation qui va être faite des données collectées au travers des traceurs, du périmètre d’utilisation, de la façon d’accepter ou de refuser les traceurs, des conséquences du refus, du destinataire des données …
- Proposer un moyen aussi facile pour recueillir le consentement que pour le retirer
- S’assurer que les traceurs que vous souhaitez mettre en place sont bien soumis au consentement de l’internaute. Par exemple, les traceurs destinés à l’authentification ne nécessitent pas le consentement de l‘internaute.
- Conserver les choix de l’internaute (consentement ou refus) pendant une durée de 6 mois et lui reposer la question à l’issue de cette durée
- Être en mesure de prouver que le consentement a bien été demandé
- Conserver les cookies pendant 13 mois max sur le navigateur et sur le serveur web si l’internaute n’a pas retiré son consentement entre-temps.
Et pour approfondir le sujet ?
La FAQ de la CNIL :
Et pour analyser l’impact des cookies et autres traceurs sur ma navigation internet ?
https://linc.cnil.fr/fr/cookieviz-une-dataviz-en-temps-reel-du-tracking-de-votre-navigation
Année 2020 – L’année des rançongiciels (ransonware)
Les rançongiciels représentent actuellement la menace informatique la plus sérieuse pour les entreprises et institutions, par le nombre d’attaques quotidiennes et leur impact potentiel sur la continuité d’activité. Alors que 54 incidents liés à des rançongiciels ont été signalés à l’ANSSI en 2019, l’Agence a enregistré une hausse de 255% en 2020 avec 192 incidents rapportés.
Un ransonware, c’est quoi ?
Un rançongiciel ou ransomware en anglais est un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon. Lors d’une attaque par ransonware, l’attaquant met l’ordinateur ou le système d’information de la victime hors d’état de fonctionner de manière réversible. En pratique, la plupart des ransonware chiffrent par des mécanismes cryptographiques les données de l’ordinateur ou du système, rendant leur consultation ou leur utilisation impossibles. L’attaquant adresse alors un message non chiffré à la victime où il lui propose, contre le paiement d’une rançon, de lui fournir le moyen de déchiffrer ses données.
Source ANSSI anssi-guide-attaques_par_rancongiciels_tous_concernes-v1.0.pdf
Et concrètement ?
Ces attaques sont essentiellement propagées via des courriels d’hameçonnage (phishing) en cliquant sur un lien malveillant ou en ouvrant la pièce jointe. Elles le sont également en naviguant sur un site compromis ou par une intrusion dans le système (l’attaquant utilise dans ce cas les failles connues des logiciels).
Aucun secteur géographique ou sectoriel n’est aujourd’hui épargné. Toute entreprise, collectivité, particulier peut être concerné dès lors qu’il a un accès à internet. Les groupes d’attaquants préfèrent cependant s’en prendre à des entreprises ou institutions pour lesquelles les impacts économiques, sociaux, industriels seront conséquents et qui sont suffisamment rentables pour pouvoir payer les rançons.
Voici quelques exemples d’entreprises ou collectivités victimes en 2020 et en ce début d’année :
- Assureur MMA (panne informatique pendant plusieurs jours)
- Orange Business Services (350 Mo de données dérobées),
- GARMIN (lignes de production arrêtée pendant 2 jours et sites web, applications mobile etc… indisponibles)
- Carlson WagonLit Travel (30 000 PC bloqués et 2To de données dérobées à rançon de 4,5M$ payée)
- Mairie de Vincennes, Angers, Marseille, Charleville-Mézières
- Hôpital d’Albertville, de Dax, de Villefranche sur Saône
- AFNOR
Et la liste est encore longue…
Pour en savoir plus
ANSSI – Attaques Par Rançongiciels, Tous Concernés. 1er sept. 2020
CERT-FR – Etat de la menace rançongiciel version CERTFR-2020-CTI-001.pdf (ssi.gouv.fr)
Bonnes pratiques
Les mots de passe n’ont plus de secret pour vous
En pratique, il existe de nombreuses solutions sur le marché pour stocker ses mots de passe, dont entre autres Keepass qui est gratuit https://keepass.info/ , dont la sécurité a été évaluée par l’Agence nationale de sécurité des systèmes d’information (ANSSI)
Permis pour internet pour petits…. et grands
Les @ventures de Permiz – Apprendre à surfer en toute sécurité (permisinternet.fr)
